在大数据的时代背景下,个人信息安全问题正变得日益严峻。科技的发展给人们带来了诸多便利,同时也使我们变得越来越“透明”。因此,我国立法近些年不断加强对个人信息的保护。在刑法和行政法对个人信息的保护之外,2017年10月1日施行的《民法总则》首次在民事基本法中明确承认了个人信息的独立法律地位,将其与其他民事权利并列,使我国对个人信息的保护又前进了一步。然而,个人信息保护规范虽日益增多,个人信息保护理论和实践中最基本问题——什么是个人信息——却仍旧是一个相对模糊的概念。
我国立法对个人信息的界定,与多数其他国家或地区一样,采用身份识别标准。但由于身份识别标准的内涵本身难以精确化,导致对其的理解成为“罗生门”式的图景。[1]本文不揣冒昧,试图结合我国司法实践中的一些案例,对个人信息的身份识别标准提出一些粗浅的看法。
我国关于个人信息概念的法律界定,最早见于2011年12月29日工信部颁布的《规范互联网信息服务市场秩序若干规定》第十一条,该条规定,“未经用户同意,互联网信息服务提供者不得收集与用户相关、能够单独或者与其他信息结合识别用户的信息(以下简称‘用户个人信息’)”。此后,相继有多部立法和司法文件对个人信息的定义作了规定,如《最高人民法院、最高人民检察院、公安部关于依法惩处侵害公民个人信息犯罪活动的通知》(以下简称《通知》)[2]、《电信和互联网用户个人信息保护规定》(以下简称《保护规定》)[3]、《2015年全国民事审判工作会议纪要》(以下简称《纪要》)[4]、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)[5]等。其中,以2016年11月7日颁布的《网络安全法》第76条中的定义最具代表性和权威性:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”
上述文件关于个人信息的定义,有一个共同之处是,把能够识别个人身份的信息都看成个人信息。虽然《通知》和《纪要》的定义中还增加了有关个人隐私的信息,《保护规定》还多了“用户使用服务的时间、地点等信息”,而解释中则还有“反映特定自然人活动情况的各种信息”,但个人隐私信息本来就属于个人信息的一部分,其他两种信息也可归入能够与其他信息结合识别个人身份的信息。[6]
因此,本质上,个人信息就是能够据以识别出特定自然人的信息。识别性,亦即能够单独或与其他信息结合识别出自然人身份的属性,是从法律上界定个人信息的本质要件。以识别性作为个人信息的本质属性,是各国立法的主流。最早提出个人信息识别性标准的美国甚至直接将个人信息称为个人识别信息(personal identifiable information,简称“PI I”)。[7]欧盟《通用数据保护条例》(以下简称“GDPR”)则规定,“个人数据是指与一个被识别或可识别的自然人(数据主体)有关的一切信息。一个可识别的自然人,是指可以根据其信息,特别是姓名、身份证号码、位置数据、在线身份标识,或根据一个或多个的特定身体、生理、遗传、思想、经济、文化或社会身份因素,能被直接或间接地识别出的人”。[8]
识,即知道、认得之意;别,即区别。个人信息定义中的识别,也就是能够辨别出某一特定自然人,将其与其他自然人区分开来,加以特定化。我国立法将识别分成两类,直接识别和间接识别。GDPR对个人信息的分类方式与我国稍有不同,它首先将个人信息区分为已识别和可识别两类。可识别信息再区分直接识别信息和间接识别信息。因此,我国法律中规定的个人信息,对应于GDPR中的可识别信息。
直接识别即仅凭借单一信息对特定自然人进行识别,如单纯依据身份证号码、个人肖像、指纹等进行识别。间接识别指无法依据单一信息,而需借助不同信息进行组合、比对等进行识别。例如,仅根据车牌号码尚无法识别车辆的所有人是谁,但将其与车管所登记的车辆资料相结合,便可知晓车主是何人。
直接识别信息和间接识别信息不是绝对的,而是可能在不同场景下发生变化。例如,姓名通常是直接识别信息,但在有同名同姓者情况下,则需要辅以其他信息如年龄、父母姓名、职业等进行识别,此时姓名便是间接识别信息。性别一般是间接识别信息,但在一群人中,如果只有一名男性,这时候男性则可以成为直接识别信息。
直接识别信息比较容易被判定,经常引起争议的,是间接识别信息的认定。如在一个案件中,法院既认为“网络用户浏览、搜索、收藏、加购、交易等行为痕迹信息以及由行为痕迹信息推测所得出的行为人的性别、职业、所在区域、个人偏好等标签信息”“并不具备能够单独或者与其他信息结合识别自然人个人身份的可能性,故其不属于网络安全法中的网络用户个人信息”,同时又表示“这些行为痕迹信息包含有涉及用户个人偏好或商户经营秘密等敏感信息。因部分网络用户在网络上留有个人身份信息,其敏感信息容易与特定主体发生对应联系,会暴露其个人隐私或经营秘密”。[9]判决书中所谓“敏感信息容易与特定主体发生对应联系”,实际上就是间接识别,“敏感信息”因此也就是间接识别信息,属于个人信息。这一推论与判决书前文将用户网络行为痕迹认定为非个人信息的结论自相矛盾。
有位女生在家中和单位上网浏览相关网站过程中,发现利用“百度搜索引擎”搜索相关关键词后,会在特定的网站上出现与关键词有关的广告。她认为百度网讯公司利用网络技术,未经她的知情和选择,记录和跟踪了其所搜索的关键词,将其兴趣爱好、生活学习工作特点等显露在相关网站上, 并利用记录的关键词,对其浏览的网页进行广告投放,侵害了她的隐私权。
一审法院认定百度网讯公司利用 cookie 技术收集该女生的信息,并在其不知情和不愿意的情形下进行商业利用,侵犯了其隐私权。二审法院则认为,虽然该女生的网络活动轨迹及上网偏好具有隐私性,但因不具有识别性,不属于个人信息范畴。[10]
本文姑且不论二审判决既认定网络活动轨迹和上网偏好属于隐私信息,又否认其属于个人信息之间的逻辑矛盾,[11]二审虽然认可个人信息的识别性标准,但在具体认定涉案信息的属性时,却出现了严重的偏差。二审判决书在原文引用了《保护规定》对个人信息的定义后接着说:
“这种网络活动轨迹及上网偏好一旦与网络用户身份相分离,便无法确定具体的信息归属主体,不再属于个人信息范畴。经查,百度网讯公司个性化推荐服务收集和推送信息的终端是浏览器,没有定向识别使用该浏览器的网络用户身份。虽然朱某因长期固定使用同一浏览器,感觉自己的网络活动轨迹和上网偏好被百度网讯公司收集利用,但事实上百度网讯公司在提供个性化推荐服务中没有且无必要将搜索关键词记录和朱某的个人身份信息联系起来”。[12]
这段话中,二审法院否认相关信息为个人信息的理由有二,百度网讯公司没有实际识别女生身份的行为,以及百度网讯公司没有识别女生个人身份的必要性。这两个理由都是不成立的。
《保护规定》在定义个人信息时说,“能够单独或者与其他信息结合识别用户的信息”是个人信息。这里的“能够”强调的是识别出自然人身份的可能性,即一份资料只要理论上具备合理地识别出自然人身份的可能性,不论是直接识别还是间接识别,都应当被认定为个人信息。
然而,二审法院完全没有分析百度网讯是否具备利用其掌握的信息识别女生身份的可能性,仅从识别的必要性和未实际识别来认定相关信息不属于个人信息,完全背离了其所引用的《保护规定》中的条款。[13]
那么,百度网讯有没可能识别出女生的个人信息呢?答案是肯定的。首先,其收集和追踪用户网络轨迹和上网偏好的目的,在于进行个性化的精准营销,而精准营销的前提,便是精准地识别用户。根据张三的喜好,向李四推荐产品,也许李四碰巧也喜欢,但这不是精准营销。其次,“百度在隐私权保护声明中也提及:百度收集的信息包括日志信息,如服务的使用情况、IP地址、访问日期和时间等,以及设备信息,如手机的国际移动设备身份码(IMEI)、手机的网络设备的硬件地址(MAC)等信息。对于百度而言,这些信息的结合已经具有了高度的识别性,足以能够指向特定用户。”[14]既然百度已经具有识别用户身份的合理可能,相关信息就应当被认定为个人信息,至于百度是否有识别用户身份的必要,或者是否实际进行了识别,在所不问。
需要注意的是,分析识别的可能性时,并非漫无边际毫无限制,而是应当基于一定的合理前提之下进行。根据欧盟的做法,识别的成本、目的、信息处理的结构、处理信息的主体所期望的好处、信息主体的利益、组织措施失效的风险(如资料外泄)、技术故障,甚至处理信息时的技术发展状况和处理资料期间可能出现的技术发展情况,都必须要加以考虑。若信息的保存期限是一个月,如果在此期限内未能预见身份被识别的可能性时,这些资料就不属于个人信息。如果资料将被保存10年,在第9年有身份识别的可能性,那么这些资料就是个人信息。[15]
不同的主体,因其智识、技术水平和物质条件等差异,面对同一信息时,识别的结果可能会有所不同。换句话说,同样的信息,交到甲的手里,可以识别出某个自然人的身份,但交给乙,却无法识别出个人身份。这就带来一个很重要的问题:在判断某项信息是否具有识别性时,应当以何主体为标准?
在王某诉青岛某培训学校隐私权纠纷一案中,原告王某参加了被告某培训学校举办的司法考试培训班,并最终通过了考试。培训学校在其发布的通过考试的学员名单中列出了王某的全名、性别和每科目成绩:“115,王XX,男,90,91,181”。[16]二审法院认为,该学校发布的的信息内容仅涉及王某姓名和成绩,并未涉及其他私人信息,该名单面向社会不特定公众发布,社会公众并不必然能凭此条信息与王某本人建立特定联系,故不构成法律概念上的特指,不具备识别性。[17]
上述观点以社会公众作为识别的主体,认为识别不具有必然性,因此姓名加成绩的组合信息不具有识别性。前已论及,识别只需具备可能性,以必然性作为判断依据显然错误。而以社会公众作为识别主体,也是不合理的。因为有些信息,即使是直接识别信息,例如基因信息、指纹等生物识别信息,并非普通大众识别得了,而必须借助特定的技术或设备等方能识别。如果以普通社会公众的识别能力作为认定识别性的标准,上述生物识别信息将无法被认定为个人信息,可我国的《网络安全法》已明确将个人生物识别信息列为个人信息。
另一种观点则认为,应以资料收集者或处理者作为识别的主体,并以此判断资料是否具有识别性,即,只要收集或处理资料的人无法识别出特定自然人的身份,该资料便不属于个人信息。根据这一标准,一份资料是否属于个人信息具有不确定性。对能够识别出特定自然人身份的人来说,这份资料是个人信息,但对无法识别的人而言,则不属于个人信息。这种状况实不利于保护信息主体的合法权益。试假设案例加以说明:
甲是一名卫生工作者,在微博上发文提醒不安全性行为的危害,并以乙因不安全性行为而染上性病一事作为事例,且上传了乙治疗性病的病历照片以增强可信度,甲对照片中乙的姓名、电话、地址等信息进行了马赛克处理,使人完全无法识别,但保留了医院的名称以及病历号。丙是甲的朋友,不知乙为何人,但转发了该微博。丙的朋友丁恰好在乙就诊的医院上班,好奇之余,输入病历号查出乙的信息,并告知丙。丁正好与乙有过节,便四处宣扬乙得性病之事,导致乙遭到亲友和同事的嘲笑,且女朋友亦因此与其分手。
上述假设案例,若以资料收集者和处理者作为判断有无识别性的主体,乙的病历号及就诊医院信息对于甲和丁而言,属于个人信息;但对于丙来说,因其无法通过病历号和就诊医院识别出乙的身份,则不属于个人信息,故其对上述信息的传播,不侵犯乙的个人信息权。但显然,丙传播病历号和就诊医院信息的行为,对于乙的隐私被公开起到了重要的推动作用。
因此,不论是以社会公众还是以资料收集、处理者作为识别主体,都不利于个人信息的保护。笔者认为,在确定识别的主体时,应当采用欧盟的模式,“在判断一个自然人是否可被识别时,应考虑信息控制者或任何其他人为直接或间接识别该自然人可能采取的一切合理手段”。[18]即判断资料是否具有识别性的主体是任意主体,包括任意的自然人、法人或其他组织。这种标准的好处在于,可以对个人信息的概念做宽泛的理解,以便涵盖与个人有关的[19]一切信息,充分保护个人的权益。
个人信息不论在我国,还是在其他国家,一般都被认为是人格权,与人格尊严和自由不可分离,故而不少国家更是将其上升到宪法权利高度加以保护。同时,个人信息还是大数据极为重要的来源,具有财产利益属性。因此,在保护个人信息的同时,还需兼顾信息自由流通,或者说得直接点,大数据产业发展的需求——这可能正是我国法院在认定个人信息时偏于保守的部分原因。[20]
本文认为,考虑到我国侵害个人信息权益的现象之严重性,以及个人相对于大数据企业的弱势地位,在判断信息的识别性时,宜采取更为宽泛的理解,以任意主体作为判断识别性的主体,只要具有识别的合理可能,就应将与个人有关的信息纳入个人信息的保护范围之内,除非法律有特别规定。
1.苏宇、高文英:《个人信息的身份识别标准:源流、实践与反思》,载《交大法学》2019年第4期。
2.第2条:“个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。”
3.第4条:“本规定所称用户个人信息,是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。”
4.第20条:“能够单独或者相互结合识别特定个人身份及行为隐私的信息构成网络公民个人信息(如网络用户的网络认证账户和密码、IP地址、上下线时间、网络浏览日志、网页地址、使用的搜索引擎关键词,公民个人的姓名、职业、家庭、婚姻、指纹、音频、视频等)。公开、买卖、窃取等利用公民个人信息,给其带来消极影响或构成侵犯个人行为隐私的,可以认定为对公民个人信息的侵权。”
5.第1条:“‘公民个人信息’”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”
6.齐爱民:《识别与再识别:个人信息的概念界定与立法选择》,载《重庆大学学报(社会科学版)》2018年第24卷第2期;赵忠东:《可识别性是公民个人信息的根本特性》,载https://www.spp.gov.cn/spp/llyj/201807/t20180708_384174.shtml,最后访问日期:2020年3月4日。
7.苏宇、高文英:《个人信息的身份识别标准:源流、实践与反思》,载《交大法学》2019年第4期。
8.GDPR第4条。
9.杭州市中级人民法院(2018)浙01民终7312号民事判决书。
10.南京市中级人民法院(2014)宁民终字第5028号民事判决书。
11.有兴趣者可参看判决书原文及王融:《反转的法律天平——我国cookie隐私第一案判决》,载《现代电信科技》2015年第5期,以及李谦:《人格、隐私与数据:商业实践及其限度——兼评中国cookie隐私权纠纷第一案》,载《中国法律评论》2017年第2期。
12.南京市中级人民法院(2014)宁民终字第5028号民事判决书。下划线为本文作者所加。
13.该案二审判决于2015年5月6日作出,当时虽然尚无《网络安全法》,但国家工信部颁布的《电信和互联网用户个人信息保护规定》已经生效,且二审判决书也直接引用了该规定中关于个人信息的定义。
14.王融:《反转的法律天平——我国cookie隐私第一案判决》,载《现代电信科技》2015年第5期。
15.欧盟第29条数据保护工作组:《关于个人数据的概念》,载https://ec.europa.eu/justice/article-29/documentation/opinion- recommendation/files/2007/ wp136_en.pdf,最后访问日期2020年3月6日。
16.培训学校实际发布时用了王某的真名,而不是用“XX”代替。
17.青岛市中级人民法院(2019)鲁02民终7482号民事判决书。
18.GDPR序言第26条。
19.根据欧盟的意见,判断一份资料是否与个人“有关”,可以从三个方面入手:内容、目的或结果。所谓“内容”,是指资料直接记载了有关自然人的信息,如姓名、身份证号码等;所谓“目的”,是指资料的使用目的,与特定自然人相关,例如,房屋价值是关于房屋的资料,非关于人的资料,但如果将房屋价值用于对所有权人进行课税,则是与个人有关的资料;所谓“结果”,是指资料的使用会对特定自然人的权益产生影响,例如,出租车公司为掌握的士所在位置,以便就近调派车辆接送乘客,在出租车上安装了定位系统,从严格意义上而言,定位系统所需资料与车辆相关,目的也不是为了考核司机,而是为了提高服务水平,但从客观上,定位系统可以检测司机的工作效率,了解其是否超速,正在行驶还是休息,因而对司机造成一定影响,故也可以看作是与司机个人有关。——见欧盟第29条数据保护工作组:《关于个人数据的概念》,载https://ec.europa.eu/justice/article-29/documentation/opinion- recommendation/files/2007/ wp136_en.pdf,最后访问日期2020年3月6日。
20.宋亚辉:《个人信息的私法保护模式研究——<民法总则>第111条的解释论》,载《比较法研究》2019年第2期。
作者介绍
张彬
道朋律师事务所 律师
张彬,上海道朋律师事务所律师,华东政法大学法学博士,主要执业领域为知识产权法,参与了众多知识产权和民商事案件的诉讼和非诉讼服务,涉及影视、音乐、文学等作品版权,以及商标权和大数据合规等。
